Élections municipales 2026 et RGPD
Introduction: Quels enjeux RGPD pour les élections municipales de 2026 ?
À l’approche des élections municipales de 2026, les communes, qu’elles soient de quelques centaines d’habitants ou de plusieurs milliers, se retrouvent confrontées à un enjeu majeur : appliquer le Règlement Général sur la Protection des Données (RGPD) tout en facilitant le déroulement démocratique du scrutin.
Les équipes municipales et les secrétaires de mairie doivent jongler avec la tenue des fichiers électoraux, la communication des informations aux candidats, la mise en place de la signalétique et de la sécurité, sans oublier la gestion d’éventuelles demandes d’accès ou de suppression de données de la part des citoyens.
Dans ce contexte, la rigueur juridique est incontournable, mais la réalité du terrain impose une approche concrète, pragmatique et compréhensible pour tous. C’est précisément là qu’intervient l’expertise d’un DPO externalisé indépendant, qui partage la proximité nécessaire avec les élus et les agents municipaux pour mettre en conformité chaque étape sans générer de lourdeurs administratives inutiles.
Dans cet article, nous allons explorer, les principales étapes à anticiper pour être pleinement conforme au RGPD lors du processus électoral municipal de 2026.
Nous aborderons les dispositions réglementaires, les bonnes pratiques à adopter, les difficultés spécifiques rencontrées par les petites communes, et l’importance de s’appuyer sur un accompagnement adapté – tel que celui proposé par Etatys – pour sécuriser les données personnelles des électeurs tout en préservant la fluidité du scrutin.
À la fin de cette lecture, vous comprendrez pourquoi il est essentiel de considérer la protection des données non pas comme un simple formalisme, mais comme un gage de confiance pour vos administrés.
Comprendre le périmètre du RGPD pour une élection municipale
Dès lors que l’on évoque un scrutin, on pense immédiatement aux listes électorales, à la convocation des électeurs, à l’affichage des panneaux et à la publicité entourant les candidats.
Pourtant, à chaque étape, des données personnelles sont directement ou indirectement traitées : nom, prénom, adresse, date de naissance, numéro de liste électorale.
Ces informations sont, pour la plupart, issues d’une fusion de fichiers gérés par la préfecture ou les services chargés de la vie électorale, mais elles sont ensuite téléchargées, imprimées, scannées, envoyées par courriel ou stockées dans un ordinateur de la mairie.
Le RGPD s’applique donc à l’ensemble de ces opérations, puisqu’il protège tout « traitement » de données à caractère personnel, qu’il soit automatisé ou non.
Pour une petite commune, il arrive souvent que la même personne (le secrétaire de mairie, le DGS, voire le maire) manipule les listes électorales, les fichiers d’envoi d’invitations aux réunions publiques ou le fichier du personnel communal présent le jour du vote.
Tout cela représente un traitement de données, soumis aux obligations du RGPD : aucune donnée ne doit circuler sans que le responsable du traitement (dans la plupart des cas, la commune elle-même) n’ait formalisé une base légale (par exemple, l’exécution d’une mission d’intérêt public ou le respect d’une obligation légale), défini une finalité précise, limité la conservation aux seuls besoins du scrutin et assuré la sécurité des données.
L’absence de respect de ces principes expose non seulement la commune à un risque juridique, mais également à une méfiance grandissante des administrés qui voient circuler leurs informations personnelles à l’occasion de la vie électorale.
Tenue et mise à jour des listes électorales : un premier point de vigilance
Le point de départ de toute élection, ce sont les listes électorales. Chaque année, les communes doivent transmettre à la préfecture les demandes d’inscription des nouveaux électeurs et actualiser les radiations éventuelles (déménagement, décès, perte de qualité d’électeur).
Pour les élections municipales, ce travail atteint son apogée : on recense tous les électeurs à jour pour pouvoir organiser le scrutin en toute validité.
Le RGPD impose, dès lors, de vérifier que cette collecte d’informations (identité, adresse, date de naissance) respecte le principe de minimisation des données : seules les informations strictement nécessaires doivent être conservées. Concrètement, cela suppose que la mairie :
- Vérifie la pertinence de chaque information : pas de duplication inutile (pas de champs superflus dans le fichier), pas de collecte de données sans lien direct avec l’inscription (par exemple, éviter de faire remplir un questionnaire d’intentions de vote lors de la demande d’inscription).
- Documente la base légale : l’inscription sur la liste électorale repose sur une obligation légale (code électoral) et sur l’intérêt public à permettre à toute personne éligible d’exercer son droit de vote. Il convient néanmoins de préciser dans un registre (registre des traitements) cette finalité, ainsi que les durées de conservation prévues.
- Assure la sécurité : que les fichiers soient stockés sous forme papier ou numérique, il faut veiller à ce qu’ils ne soient accessibles qu’aux personnes devant en connaître. Par exemple, limiter l’accès informatique aux seuls agents en charge, verrouiller les armoires contenant les listes imprimées, ou encore utiliser un mot de passe robuste pour le fichier Excel.
En petites structures, il n’est pas rare que le même PC soit utilisé par plusieurs agents municipaux, du services techniques ou des finances.
Or, chacun de ces services n’est pas directement concerné par les listes électorales. Il est donc impératif de s’assurer qu’un plan de classement des fichiers et une procédure simple de gestion des droits d’accès soient mis en place.
Cela peut sembler contraignant, mais en réalité, c’est l’une des garanties qui permet d’éviter une exposition accidentelle des données lors d’un contrôle CNIL ou à l’occasion d’un incident (vol de matériel, oubli à la poste, etc.).
Communication électorale : équilibre entre information citoyenne et protection des données
À mesure que la campagne s’intensifie, la communication autour des candidats et des décisions municipales prend une place centrale.
Que la commune décide de relayer des informations sur la tenue du scrutin via sa page Facebook, d’envoyer des newsletters aux électeurs inscrits ou d’afficher des tracts dans les lieux publics, chaque canal de diffusion peut comporter un risque de non-conformité.
En effet, diffuser un tract via une base de données d’adresses électroniques pour un envoi groupé sans accord préalable des destinataires ou sans un mécanisme de refus clair (opt-out) constitue une infraction.
De même, l’usage d’une messagerie personnelle pour envoyer des listes d’électeurs, au lieu d’un outil dédié, peut conduire à un partage inapproprié.
Pour rester en conformité, la commune doit s’assurer que :
- Les listes d’envoi sont collectées avec un consentement ou fondement légitime clairement établis. Par exemple, si la mairie propose aux citoyens de recevoir une lettre d’information sur la préparation du scrutin, le formulaire d’inscription doit mentionner explicitement la finalité (information électorale), le responsable de traitement (la commune) et la durée pendant laquelle l’adresse mail sera conservée (généralement, jusqu’à la fin de l’élection).
- Un mécanisme de désabonnement simple et efficace est mis en place. Chaque e-mail envoyé doit comporter un lien de désinscription ou une procédure manuelle décrite de façon claire. Sans cela, la CNIL considère que le traitement manque de transparence et de respect des droits des personnes.
- La publicité ciblée sur les réseaux sociaux respecte le RGPD. Si la commune souhaite promouvoir via Facebook ou Instagram un rendez-vous électoral (par exemple, une réunion publique ou une visite de bureau de vote), il ne faut ni transférer de listes d’adresses à la plateforme, ni cibler des individus en fonction de données sensibles (orientation politique, situation sociale).
Le ciblage doit se limiter à des critères non sensibles (zone géographique, tranches d’âge), et il est conseillé de rédiger une note de sous-traitance précisant la nature des données transmises et le mode de sécurisation employé.
Cette dimension communication doit s’accompagner d’une vigilance particulière sur la conservation des traces. Chaque envoi de courriel, chaque publication sur un site interne ou un intranet municipal implique la création de logs (historiques de connexion, adresses IP, timestamps).
Ces données, lorsque l’on creuse un peu, peuvent être considérées comme « données à caractère personnel » si elles permettent, directement ou indirectement, d’identifier un individu.
Dans une petite commune où le même agent se connecte parfois depuis le même poste, peut-il être identifié ? Oui, et cela suffit à imposer une politique de conservation limitée. En pratique, il faudra prévoir la suppression automatique des logs dépassant une certaine durée, sauf incident nécessitant une conservation plus longue (par exemple, une enquête interne).
Gestion des demandes d’exercice des droits des électeurs
Le RGPD confère à toute personne un ensemble de droits : droit d’accès, de rectification, d’effacement, de limitation, de portabilité et d’opposition. Avant le scrutin, durant, voire après, des électeurs peuvent formuler des demandes visant à exercer ces droits.
Le plus fréquent dans le contexte électoral est le droit d’accès (vérifier que mon nom figure bien sur la liste) ou le droit de rectification (modifier une adresse mal orthographiée).
Cependant, certains candidats ou groupes de citoyens revendicatifs peuvent tenter d’accéder à des fichiers plus vastes (obtenir la liste de toutes les adresses mail pour envoyer leur propre communication) ou s’opposer à la diffusion de certaines informations (par exemple, la photo d’un candidat sur le site de la mairie).
Pour traiter ces demandes, la commune doit mettre en place une procédure simple : un référent chargé de recevoir les courriers, e-mails ou demandes verbales, une grille de traitement indiquant les délais (un mois à compter de la réception de la demande, prorogeable de deux mois si nécessaire), et surtout une documentation interne qui décrit pas à pas le circuit de la demande.
Il faut éviter le « bureau qui se renvoie la balle » : dès que l’agent ou le maire reçoit une demande d’accès à la liste électorale, il doit savoir immédiatement où la consigner, qui la saisit dans le registre des demandes, et comment elle est satisfaisante.
En pratique, un modèle de formulaire de demande sur le site internet de la mairie, un modèle de réponse type (exemple de mail ou de courrier postal), des mentions légales rappelant le droit de chaque personne à s’opposer à la diffusion de ses données (droit d’opposition à la publication du nom et de l’adresse en ligne, par exemple lorsqu’il s’agit de candidats ou d’élus contrevenant à la vie privée) sont des outils précieux.
Pour de petites communes, l’investissement de temps dans la mise en place de ces procédures est largement compensé par la réduction des risques de litiges, de plaintes CNIL et de contentieux pré-électoraux.
Vidéo-protection, sondages et diffusion des résultats : des cas particuliers à ne pas négliger
Au-delà des listes et de la simple communication, un certain nombre de traitements annexes peuvent également être sollicités par la mairie ou les candidats : la vidéo-protection des bureaux de vote, la réalisation de sondages préalables, la publication en temps réel des résultats ou encore la transmission de données aux services préfectoraux. Ces traitements, souvent ignorés dans la préparation du scrutin, sont pourtant des points de vigilance RGPD :
- Vidéo-protection des bureaux de vote : depuis 2016, une commune peut installer des caméras dans et autour de la salle de vote pour prévenir la fraude et les incivilités. Mais la vidéo-protection implique forcément la capture d’images de personnes identifiables (électeurs, bénévoles, agents municipaux).
- Le RGPD exige alors une déclaration préalable auprès de la CNIL, la mise en place de panneaux d’information clairs et la définition d’une durée de conservation limitée.
De plus, il convient d’établir une procédure pour les demandes de consultation des images (par exemple, un électeur qui s’estime victime d’une infraction et souhaite voir la vidéo). Cette démarche ne doit pas être improvisée la veille du scrutin ; elle se prépare plusieurs mois à l’avance, avec la réalisation d’une Analyse d’Impact relative à la Protection des Données (AIPD) pour évaluer concrètement les risques et les mesures d’atténuation.
- Sondages pré-électoraux : les instituts de sondage, lorsqu’ils réalisent des enquêtes d’opinion sur la façon dont les électeurs envisagent leur choix, doivent collecter un consentement exprès de chaque participant, expliquer la finalité et conserver anonymisée la base de données (pour les résultats statistiques uniquement).
Pour une petite mairie souhaitant commander un sondage local via une start-up par exemple, il est essentiel de s’assurer que la prestation intègre un engagement contractuel solide en matière de RGPD, avec une clause de sous-traitance conforme aux exigences (article 28 du RGPD).
Un point souvent oublié : la transparence vis-à-vis des personnes sondées, en précisant qu’elles peuvent à tout moment demander l’accès, la rectification ou l’effacement de leurs réponses.
- Publication des résultats du scrutin : dès la fin du dépouillement, la loi impose la publication des résultats, généralement affichée sur les panneaux officiels de la mairie et diffusée sur le site internet communal.
Il convient de limiter la publication aux seuls éléments nécessaires : nom du candidat ou de la liste, nombre de voix obtenues, pourcentage de participation, etc., sans mentionner d’informations superflues sur les électeurs. De plus, si des images du dépouillement sont diffusées sur les réseaux sociaux, il faut vérifier qu’aucun individu ne soit reconnaissable de manière à ne pas porter atteinte à la vie privée.
Chacun de ces exemples illustre combien le RGPD influe sur les pratiques traditionnelles des campagnes municipales. Au-delà de la simple conformité, il s’agit surtout de préserver la confiance des citoyens dans le processus démocratique.
Imaginons un électeur qui découvre, après le scrutin, que son image a été capturée sans information préalable, ou qu’un institut de sondage a contacté son voisin pour récolter des informations politiques sans respecter son droit d’opposition.
Ces incidents peuvent, non seulement déclencher des plaintes auprès de la CNIL, mais aussi alimenter un climat de défiance difficilement réversible pour la collectivité.
Rien de tout cela n’est insurmontable, mais pour une petite collectivité, l’enjeu est de trouver le juste équilibre entre la sécurité et la simplicité d’usage.
Faire appel à un expert RGPD ou à un DPO externalisé permet d’obtenir un audit rapide, une liste des priorités à mettre en place, ainsi qu’un calendrier de déploiement cohérent avec les ressources limitées de la commune.
C’est dans cette optique qu’Etatys propose un accompagnement sur-mesure, avec la rédaction de procédures simples, la formation adaptée pour chaque profil d’agent et un suivi sur le long terme pour s’assurer que les mesures restent effectives jusqu’à la proclamation des résultats.
Pour se renseigner sur les élections municipales de 2026: Quelles sont les dates des prochaines élections ? | Service-Public.fr
